关于开展学校信息系统(网站)弱密码排查整改工作的通知

各二级学院、各单位:

为贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规,根据《桂林学院网络与信息系统安全管理办法》(桂院政办〔2023〕39号)文件要求,为保障我校网络与数据安全,避免我校网站和信息系统由于弱密码被盗用或暴力破解而造成网络安全事件,现对全校各类信息系统(网站)和虚拟机的管理员和用户账号弱密码问题进行全面排查和整改,相关要求通知如下:

一、排查整改范围

排查学校各类业务信息系统(网站)和虚拟机管理员及用户账号密码是否存在弱密码【即123456、123abc、666666、888888电话号码、生日、学(工)号、姓名、身份证号、学校和学院(单位)名称等字符或其组合等】问题,包括但不限于:OA系统、教务系统、学工系统、财务系统、图书馆管理系统、邮箱、门户网站等管理员和用户账号密码。

二、排查整改内容

(一)各二级学院、各单位即日起对所管理及使用的信息系统(网站)开展用户密码复杂度检查,尤其是高权限用户和管理员,检查本人所负责和使用的信息系统(网站)有无使用弱密码、默认密码和通用密码等,若存在弱密码,须立即按照要求修改。

(二)密码设置原则、密码管理及账号使用规范

1.系统管理员的密码长度不低于8个字符,由数字、大写字母、小写字母、特殊符号中的三种及以上组成,每三个月须更新一次密码;用户登录账号的密码长度应不低于6个字符,由数字、大写字母、小写字母、特殊符号中的三种及以上组成,严禁使用简单密码。

2.不同系统应设置不同的密码,各系统密码应做到唯一,防止单个系统中用户密码泄露引发黑客“撞库攻击”,造成多个系统集体失陷。

3.各二级学院、各单位应要求所管理的信息系统(网站)软件开发商在用户管理、注册、登录及密码修改等页面增加密码强度检查功能,增加用户连续登录失败后的锁定机制,从系统层面减少乃至杜绝弱密码的使用,增强系统安全性。

4.各单位须加强账号使用规范,禁止多人共用管理账号,禁止教师将管理账号交学生使用。

(三)清理僵尸账号、关停测试账户、关停离职人员账户。停用或删除系统中长期未使用、已不需要的僵尸账号,各单位须及时关停测试账号及离职人员账号,建立定期清理工作机制,定期清理僵尸账号。

三、工作要求

(一)请各二级学院、各单位认真组织开展并做好“弱口令”排查整改工作,填写《桂林学院弱密码排查整改工作报告》(附件),并于5月15日下班前报送至图文信息中心。电子版发送至电子邮箱:twxxzx@glc.edu.cn,纸质版经单位主要负责人签字并加盖单位公章后报送至图文信息中心网络与数字化办公室(至善楼110办公室)。联系人:王飞扬,联系电话:0773-3696627。

(二)图文信息中心将定期对学校重要信息系统及网站进行密码安全性检查,对于弱口令治理不到位、被教育厅、公安、网信办等主管部门通报,或对学校重要业务信息系统产生安全威胁或造成网络安全事件的单位和个人,将根据学校网络安全有关规定报请学校按未落实网络安全主体责任情况进行处理。


附件:桂林学院弱密码排查整改工作报告

                           

图文信息中心

2024年4月29日